SonicWall advirtió a los clientes hoy que restablezcan credenciales después de que sus archivos de copia de seguridad de configuración de firewall se expusieron en una violación de seguridad que impactó las cuentas de MySonicWall.
Después de detectar el incidente, Sonicwall ha reducido el acceso de los atacantes a sus sistemas y ha estado colaborando con las agencias de ciberseguridad y aplicación de la ley para investigar el impacto del ataque.
«Como parte de nuestro compromiso con la transparencia, le estamos notificando un incidente que expuso archivos de copia de seguridad de configuración de firewall almacenados en ciertas cuentas de MySonicWall», «, La compañía de ciberseguridad dijo El miércoles.
«El acceso a los archivos de configuración de firewall expuestos contiene información que podría hacer que la explotación de los firewalls sea significativamente más fácil para los actores de amenazas».
Las consecuencias del incidente podrían ser graves, ya que estas copias de seguridad expuestas pueden dar a los actores de amenaza acceso a información confidencial, como credenciales y tokens, para cualquiera o todos los servicios que se ejecutan en dispositivos Sonicwall en sus redes.
Municipal también ha publicado detallado guía a Ayuda a los administradores Minimice el riesgo de explotar una configuración de firewall expuesta para acceder a sus redes, reconfigurar secretos y contraseñas potencialmente comprometidos, y detectar una posible actividad de amenazas dentro de su red.
«La siguiente lista de verificación proporciona un enfoque estructurado para garantizar que todas las contraseñas, claves y secretos relevantes se actualicen de manera consistente. Realizar estos pasos ayuda a mantener la seguridad y proteger la integridad de su entorno de Sonicwall. Los elementos críticos se enumeran primero. Todas las demás credenciales deben actualizarse a su conveniencia», acordó la compañía.
«Tenga en cuenta que las contraseñas, los secretos compartidos y las claves de cifrado configuradas en Sonicos también pueden necesitar actualizarse en otro lugar, como con el ISP, el proveedor de DNS dinámico, el proveedor de correo electrónico, el par remoto IPSEC VPN, o el servidor LDAP/RADIUS, solo para nombrar algunos».
Esta guía aconseja a los administradores que desactiven o restrinjan el acceso a los servicios en el dispositivo desde la WAN antes de restablecer las credenciales. Luego necesitan restablecer todas las credenciales, claves API y tokens de autenticación utilizados por usuarios, cuentas VPN y servicios.
Una lista completa de los servicios que deben restablecerse debido a los archivos de configuración robados se enumeran en este Restablecimiento de credencial esencial Boletín de apoyo.
BleepingComputer se comunicó con SonicWall con preguntas sobre el incidente, pero una respuesta no estuvo disponible de inmediato.
En agosto, Sonicwall desestimó informes que la pandilla de ransomware de Akira estaba violando los firewalls de Gen 7 con SSLVPN habilitado Usando un posible exploit de día cerodeclarando que en realidad estaba vinculado a CVE-2024-40766, una falla crítica de control de acceso SSLVPN en Sonicos que fue parcheado en noviembre de 2024.
La semana pasada, La teoría de la compañía fue confirmada Cuando el Centro de Seguridad Cibernética Australiana (ACSC) y la firma de seguridad cibernética Rapid7 confirmaron que la pandilla de ransomware Akira ahora está explotando la vulnerabilidad CVE-2024-40766 para comprometer los dispositivos Sonicwall sin parches.
El 46% de los entornos tenían contraseñas agrietadas, casi duplicando desde el 25% el año pasado.
Obtenga el informe PICUS Blue 2025 ahora para ver más hallazgos sobre la prevención, la detección y las tendencias de exfiltración de datos.
